Tải bản đầy đủ (.pdf) (14 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Một số lệnh cơ bản kiểm tra server khi bị DDoS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (408.05 KB, 14 trang )

20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

   Vultr đang nhân đôi tài khoản, miễn phí tới 103$

Học VPS Kiến thức quản trị VPS, Server

Bắt đầu /

Series 

 Xem ngay 

/

Coupon 

Tìm kiếm bài viết hướng dẫn. Nếu không có hãy vào trang Hỏi đáp.

Một số lệnh cơ bản kiểm tra server khi bị
DDoS
 Học VPS / Bảo mật / Một số lệnh cơ bản kiểm tra server khi bị DDoS
 13/05/2015

 Luân Trần

 Bảo mật

 12,826 Views


 30 Comments

/

Hỏi đáp /

Dịch vụ /

Liên hệ

 SEARCH

ĐĂNG KÝ BẢN TIN

HỌC VPS
Nhận kiến thức mới, thủ thuật
hay trực tiếp qua email.

Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm
cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng
hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh

CHIA SẺ:

3

truy cập từ lượng kết nối khổng lồ.

Địa chỉ email của bạn


9

ĐĂNG KÝ NGAY
Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu
quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS.
Mình xin chia sẻ lại bài của BKNS, giới thiệu một số lệnh cơ bản để kiểm tra server trong trường
hợp này.
/>
Forum hỏi đáp Học VPS
1/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

HocVPS Script

– Đếm lượng connection vào Port 80:
netstat ‐n | grep :80 |wc ‐l

– Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:
netstat ‐n | grep :80 | grep SYN_RECV|wc ‐l

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
Categories
netstat ‐an|grep :80 |awk '{print $5}'|cut ‐d":" ‐f1|sort|uniq ‐c|sort ‐rn
7

– Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:


netstat ‐plan | grep :80 | awk '{print $4}'| cut ‐d: ‐f1 |sort |uniq ‐c

CHIA SẺ:

3

9

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
netstat ‐an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut ‐d":" ‐f1 | sort | uniq ‐c

– Hiển thị số lượng kết nối mỗi loại
netstat ‐an | grep :80 | awk '{print $6}' | sort | uniq ‐c

Bash Shell Script
Basics

33
1

– Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:

Bảo mật

13
6

netstat ‐an|grep :80|grep SYN |awk '{print $5}'|cut ‐d":" ‐f1|sort|uniq ‐c|sort ‐rn


Apache

Blog

25

CentOS

18

Control Panels

7

Database

9

Đánh giá

3

LAMP

5

LEMP

4


Mail Server

13

Nginx

20

Providers
6

/>
Digital Ocean
2/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

Ramnode

3

61 ESTABLISHED
 13 FIN_WAIT1
 17 FIN_WAIT2
 1 LISTEN
 25 SYN_RECV
 298 TIME_WAIT


11

– Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP
watch "netstat ‐an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut ‐d\":\" ‐f1 | sort |
 uniq ‐c"

Vultr

13

Thủ thuật

16

Tối ưu server

13

Ubuntu

1

Video

7

WordPress

Bài nổi bật

watch "netstat ‐an | grep :80 | awk '{print \$6}' | sort | uniq ‐c"

Hướng dẫn cài đặt

Khi đã phát hiện IP có dấu hiệu bất thường, bạn có thể sử dụng CSF để block IP đó lại.

Sentora

Related Posts:

Cài đặt Windows 7 trên
VPS Vultr

1. Lệnh kiểm tra các thông số VPS Linux

Tổng hợp Windows ISO

2. Cách tìm 㾀le/thư mục lớn nhất trên VPS

cài trên Vultr

3. 21 câu lệnh Linux phải nhớ

Hướng dẫn cài đặt LEMP
(Linux, Nginx, MariaDB,

4. Kiểm tra và mở port VPS trên CentOS

CHIA SẺ:


3

PHP) trên CentOS

9

Cài đặt và Quản lý server
dễ dàng với HocVPS Script

30 Comments

Cấu hình tối ưu cho VPS,
2GB RAM được 4.363

Trường Sinh

4

 Reply

người Online

16/05/2015 at 9:45 pm
/>
3/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS


VPS nên dùng

mình đang cần

Du

 Reply

22

25/05/2015 at 8:08 pm

Dấu hiệu nào để mình biết là bị ddos bác ơi. Em đang cần quá. Em đang bị DDos
hay sao ấy. Gói 10$ mà có 80 On là max cpu. Reset lên đc 180 là lại nằm. Bác chỉ em
các nhận biết với



Du

 Reply

22

25/05/2015 at 8:18 pm

Em thấy có ip kết nối nhiều nhất là 15 có nên ban ip này ko ạ. Hoặc bao
nhiêu kết nối thì nên ban ạ


CHIA SẺ:

Luân
Trần
3

Admin

9

 Reply

25/05/2015 at 10:28 pm

Để phát hiện khá là khó, mình không thể hướng dẫn cụ thể được. Hôm vừa
rồi update cái plugin Google Authenticator bị 1 loạt request vào ♛岅le
admin‐ajax.php

, cứ tưởng bị DDoS cơ mà mày mò cả ngày xong mới phát

hiện ra được vấn đề @@

/>
4/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS


Minh Cuong



 Reply

6

04/09/2015 at 12:48 am

Hình như mình cũng bị như cậu, cậu có cách giải quyết gì hướng
dẫn mình vs, mình cài plugin seo của yoast.

Luân Trần



Admin

 Reply

04/09/2015 at 10:37 am

Mình disable plugin đó đi, đợi bản update mới

Nguyễn Đức Anh

 Reply

10


04/06/2015 at 9:33 pm

mình cũng bị đánh dos liên tục, dùng cả tường lửa vps và tường lửa của code
website mà vẫn không ăn thua. Ai có mưu kế gì bày mình đỡ dos với

CHIA SẺ:



3

Luân Trần

9
Admin

 Reply

05/06/2015 at 8:35 am

Bạn phân tích như thế nào để biết được đang bị DDoS, nhiều khi do plugin
WP làm cho hệ thống quá tải đó.

/>
5/14


20/10/2016


Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

Nguyễn Đức Anh

 Reply

10

05/06/2015 at 4:28 pm

thông thường cpu trên vps và ram lên cực điểm, làm treo hệ thống cho đến khi
mình reset lại vps. kêt cả mình sử dụng code tự reset lại mysql khi cpu hoạt động
trên 80% mà vẫn bị. Code mình dùng vbb 4.2.

Luân Trần



Admin

 Reply

06/06/2015 at 4:01 pm

Việc CPU và RAM cao cực điểm như bạn nói ko thể nào chứng minh được
VPS đang bị DDoS, có thể do code của bạn nặng, online hoặc visit nhiều
dẫn đến quá tải.
Mình nghiêng về giải pháp tối ưu server, code và nâng cấp RAM/CPU đi.

Lão Còi


 Reply

6

07/06/2015 at 8:35 pm

CHIA SẺ:

3

9

Bác Luân cho em hỏi, em kiểm tra thì nó trả về IP của VPS có số lượng kết nối lớn
nhất, gần 500 lận. Vậy là sao hả bác? Còn 1 số IP khác khoảng 20 như vậy có phải là
cao không?



Luân Trần

Admin

/>
 Reply
6/14


20/10/2016


Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

07/06/2015 at 11:29 pm

Bác check lại access log ♛岅le xem những ip đó đang request đến ♛岅le nào, có
thường xuyên không?

nguyễn văn chiến

 Reply

1

18/08/2015 at 11:59 am

của em bị những 5000 lượt truy cập dơ web luôn bị tấn công vào cổng 80 nhờ các
bác tư vấn giúp em với, và em đang muốn vào kiểm tra ip tấn công và cách thức
ddos trên direct admin thì vào theo từng bước hướng dẫn giúp em với. thank các
bác

nguyễn tiến thành

1

 Reply

19/08/2015 at 9:31 pm

của em khi kiểm tra netstat -n | grep :80 |wc -l lên đến 628
3 bruce monitor

CHIA SẺ: vào kiểm tra
9 trong directadmin thì thấy nhiều địa chỉ ip tấn công cao

nhất là 100000 lần login failue
vào wp-admin thì toàn báo lỗi quá tải error etablishing database connection



Luân Trần

Admin

 Reply

20/08/2015 at 10:09 am

/>
7/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

Bạn check xem các request tấn công có gì đặc biệt không? Check trong
access.log

Nguyen Thu

 Reply


1

08/09/2015 at 9:42 pm

Anh Luân ơi, em hỏi chút, server em đặt cổng là 8121 thì khi em check netstat -n |
grep :80 |wc -l với port 80 thì nó ra số 320 nhưng GA thống kê online thì chỉ có 60
thì có gọi là bất thường ko à?

Luân Trần



Admin

 Reply

08/09/2015 at 10:00 pm

Mỗi con số được tính toán khác nhau, nên bạn không thể nào so sánh 2 cái
được đâu.

CHIA SẺ:

3

Tiến Thịnh

9
21


 Reply

19/11/2015 at 1:44 pm

Bác luân cho em hỏi tự nhiên dạo này site em ăn cpu rất kinh, vẫn là mã nguồn đó
trước có lúc online 500 vẫn chỉ hết 50% cpu thôi mà giờ online 200 nhiều lúc đã hết
cpu rồi .
Cpu(s): 12.8%us, 28.4%sy, 0.0%ni, 28.8%id, 0.0%wa, 0.0%hi, 0.2%si, 29.8%st
/>
8/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

Cái chỉ số %st và %sy này lên rất cao, dạo gần đây site em thường xuyên bị lỗi 502

em chạy gói 4cpu của ramnode đây mà, gõ lệnh top -c thì ra
25497 nginx 20 0 555m 33m 19m S 24.5 3.3 0:24.24 php-fpm: pool www
25491 nginx 20 0 557m 38m 24m S 20.8 3.8 0:21.38 php-fpm: pool www
25488 nginx 20 0 555m 35m 22m S 20.2 3.5 0:23.44 php-fpm: pool www
25512 nginx 20 0 557m 36m 22m S 17.5 3.7 0:19.02 php-fpm: pool www
1991 mysql 20 0 799m 127m 4028 S 17.2 12.8 2845:56 /usr/sbin/mysqld –
basedir=/usr
25482 nginx 20 0 553m 35m 23m S 16.9 3.6 0:26.52 php-fpm: pool www
25513 nginx 20 0 558m 37m 23m R 16.9 3.8 0:18.95 php-fpm: pool www
25496 nginx 20 0 555m 36m 22m S 16.5 3.7 0:23.51 php-fpm: pool www
25503 nginx 20 0 555m 34m 22m S 16.2 3.5 0:18.16 php-fpm: pool www

15124 nginx 20 0 664m 64m 21m S 15.5 6.5 43:52.76 nginx: worker process
25489 nginx 20 0 554m 37m 25m S 15.2 3.8 0:22.81 php-fpm: pool www
25490 nginx 20 0 554m 37m 25m S 13.9 3.8 0:23.66 php-fpm: pool www
25495 nginx 20 0 555m 36m 22m S 13.9 3.7 0:22.84 php-fpm: pool www
25493 nginx 20 0 556m 35m 21m R 10.9 3.6 0:25.27 php-fpm: pool www
25494 nginx 20 0 554m 33m 20m S 10.9 3.4 0:23.52 php-fpm: pool www
25492 nginx 20 0 557m 36m 22m S 10.6 3.7 0:21.14 php-fpm: pool www
25484 nginx 20 0 557m 43m 30m D 9.6 4.4 0:21.42 php-fpm: pool www
3 20 0 664m 62m
CHIA SẺ: 15122 nginx
9 21m S 8.6 6.3 43:40.28 nginx: worker process

25487 nginx 20 0 554m 32m 20m R 6.0 3.2 0:24.16 php-fpm: pool www
15125 nginx 20 0 650m 51m 21m S 3.6 5.2 44:28.94 nginx: worker process
25516 nginx 20 0 554m 32m 20m R 3.3 3.3 0:16.74 php-fpm: pool www
25478 root 20 0 548m 8192 1116 S 2.3 0.8 0:01.35 php-fpm: master process
(/etc/ph
25483 nginx 20 0 558m 40m 25m S 2.3 4.1 0:21.85 php-fpm: pool www
15123 nginx 20 0 652m 53m 21m S 1.7 5.3 44:29.89 nginx: worker process
/>
9/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

Chủ yếu là thằng php-fpm: pool www ăn hết cpu anh ạ, có cách nào giải quyết
không


Luân Trần



Admin

 Reply

19/11/2015 at 4:31 pm

Check lại xem có visit lạ, hoặc bị DDoS gì đó ko nhé?

Mak Job

 Reply

1

30/11/2015 at 7:52 am

Mình dùng lệnh “netstat -n | grep :80 | grep SYN_RECV|wc -l” thấy có một IP có 50
kết nối, như thế có phải là đang bị ddos không Luân nhỉ? nhưng server kiểm tra thì
vẫn ok

Luân Trần



CHIA SẺ:


Admin

 Reply

3
9
30/11/2015
at 9:29 am

Chưa chắc nó là DDoS nhé bạn, cần xem request cụ thể của IP đó như thế
nào trong access.log thì mới chắc được.

Chí

2

/>
 Reply
10/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

10/01/2016 at 10:40 am

sao mình gõ lệnh đó mà lại bị command not found nhỉ

Luân Trần




Admin

 Reply

10/01/2016 at 4:01 pm

Có thể VPS chưa cài netstat, bạn hãy cài thêm thôi.

Phong

 Reply

1

02/04/2016 at 9:38 am

Đơn vị cho thuê server vừa gửi thông báo : Server của mình đi tấn công server khác
qua UDP port 53 . Vậy làm sao để kiểm tra được tình trạng này ? Nhờ các bạn giúp
đỡ

3
CHIA SẺ: nguyen khoa

4

9


 Reply

10/06/2016 at 12:08 am

Các anh chị hướng dẫn em mở ♛岅le access.log tren hocvps với. em không sao mở
được ♛岅le đó

/>
11/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

Luân Trần



 Reply

Admin

10/06/2016 at 11:15 am

Bạn edit lại nội dung ♛岅le cấu hình: /etc/nginx/conf.d/domain.com.conf rồi
restart lại nginx là ok

nguyen khoa




 Reply

4

11/06/2016 at 2:27 am

em không tìm thấy nó nằm ở đâu ạ, a chỉ đường dẫn tới access.log
giúp em. xin cám ơn

nguyen khoa

 Reply

4

11/06/2016 at 2:29 am

em bị ip này 103.237.144.212
tấn công ddos , a hướng dẫn em chặn nó triệt để được không? nó

CHIA SẺ:

3



attack 5000
9


Luân Trần

Admin

 Reply

13/06/2016 at 4:15 pm

Bạn dùng luôn lệnh này để block ip:
iptables ‐A INPUT ‐s 1.2.3.4 ‐j DROP
/>
12/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

khachsancatba.vn

 Reply

1

08/09/2016 at 11:29 am

Dạo gần đây mình cũng hay thấy trang của mình không truy cập được, nay đọc
được bài này thì phải về kiểm tra xem thế nào. Thanks admin nhiều !!!


Comment của bạn

Name *

CHIA SẺ:

3

9

Email *

Website

Post Comment
/>
13/14


20/10/2016

Một số lệnh cơ bản kiểm tra server khi bị DDoS ­ Học VPS

Xác nhận bạn không phải spam

Comment mới
Luân Trần

Bài mới
{ Đơn giản là bạn login sai


thôi, dùng account admin nha. } – Oct
19, 10:17 PM
Luân Trần

{ Cái này không quan

trọng đâu, bạn cần thì chọn chức năng




Xóa hoặc Disable YUM Repo (Repository)

Payoneer Việt Nam

Rclone – Backup toàn bộ VPS lên Google

Blog Quản Trị Hệ Thống



[HocVPS Script Plugin] – Tự động sao lưu



Cấu hình tối ưu cho VPS, 2GB RAM được




Cấu hình Varnish hoạt động trên 2 port




Tìm kiếm toàn bộ ♛岅le *.PHP trên Linux

Thêm website để... } – Oct 19, 10:16 PM
Luân Trần

{ Nâng cấp ngay lập tức

đó bạn. } – Oct 19, 10:16 PM
dieu

{ cho minh xin link iso

window10 thanks .
} – Oct 19, 9:32 PM
Vu Nguyen

{ Chào Luận ! Khi mình

Liên kết bạn bè

Drive

toàn bộ VPS

4.363 người Online


khác nhau

Disable IPv6 trên CentOS

tạo database xong hết . Nó báo lỗi
ERROR 1045... } – Oct 19, 2:18 PM

CHIA SẺ:

Giới thiệu

3

/

9

Liên hệ

/>
©2016 Học VPS, một sản phẩm của Canh Me. Hosted by Vultr.

14/14



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×